1. 1HackParaLosChicos
Jornada
Solidaria
de
Seguridad
de
la
Información
26
de
julio,
Buenos
Aires
-‐
Argen;na
2. Seguridad
en
Disposi7vos
Móviles
Jornada
Solidaria
de
Seguridad
de
la
Información
26
de
julio,
Buenos
Aires
-‐
Argen;na
3. Agenda
Situación Actual
Problemática
Seguridad Física
Seguridad en los Sistemas Operativos
Seguridad en las Aplicaciones
Seguridad en el Almacenamiento de Datos
Seguridad en el Control de Accesos
Otros
Contramedidas
Demos
Conclusiones
#1HackParaLosChicos
3
4. Situación
Actual
(Deja-‐vù)
Los dispositivos móviles dejaron de ser únicamente un Gadget
tecnológico para pasar a formar parte de un fenómeno social y
empresarial.
Sus capacidades de procesamiento, usabilidad y conectividad
se incrementan de manera vertiginosa.
Las redes de telefonía móvil que los soportan, han crecido
tanto tecnológicamente como geográficamente permitiendo el
acceso a la información en cualquier lugar de manera efectiva.
Tanto el acceso a la información corporativa como a
contenidos sociales y ociosos se están mudando hacia la
“cuarta pantalla” y los vectores de ataque tradicionales no son
la excepción.
#1HackParaLosChicos
4
5. Situación
Actual
Por el contrario de lo que sucede con los sistemas operativos
de las máquinas de escritorio, el mercado de los dispositivos
móviles posee una mayor oferta y diversidad.
El mercado de los dispositivos móviles esta liderado por los
smartphones pero las Tablets sin duda, jugaran un papel
fundamental en las empresas en el corto plazo (si es que ya
no lo están jugando J )
#1HackParaLosChicos
5
6. Situación
Actual
-‐
Actores
principales
RIM OS (RIM)
IOS (Apple)
Android (Google)
Windows Phone (Microsoft)
WebOS (HP)
Symbian (Nokia)
#1HackParaLosChicos
6
8. Problemá7ca
Escenarios del mundo corporativo ante los dispositivos móviles
ü Plataforma única, integrada y estandarizada.
ü Plataforma única, integrada, estandarizada con excepciones.
ü Plataforma IGWT In God We Trust
#1HackParaLosChicos
8
9. Problemá7ca
Así como las notebooks fueron desplazando a las estaciones de
trabajo, hoy en día los dispositivos móviles van ocupando ese lugar
tan privilegiado. En la pelea por ocuparlo, los actores principales
del mercado se enfocan en “la experiencia del usuario”
trabajando en los temas de seguridad de manera reactiva.
#1HackParaLosChicos
9
10. Problemá7ca-‐
Seguridad
Física
Como en los viejos tiempos, la pérdida y/o el robo
representan hoy en día el problema más significativo.
En el mejor de los casos, solo deberíamos lamentar la
pérdida del hardware, de no ser así, es solo el principio del
problema.
El escenario corporativo más afectado es el IGWT ya que
desconoce la existencia de los equipos en la red, de la
información almacenada en el mismo (claves, datos, mails,
etc) e incluso hasta de la pérdida producida.
#1HackParaLosChicos
10
11. Problemá7ca
–
Seguridad
en
Sistemas
Opera7vos
La diversidad y segmentación (fragmentación) de los sistemas
operativos disponibles para los dispositivos móviles plantea desde
el inicio un complejo escenario:
ü Administración de perfiles de multi-usuario
ü Arquitectura de seguridad (basados en ID o Privilegios)
ü Segmentación/fragmentación de versiones
ü Gestión y remediación de vulnerabilidades
#1HackParaLosChicos
11
15. Problemá7ca:
Seguridad
en
Aplicaciones
Si bien existe multiplicidad de problemas a nivel aplicación, quizás
la forma más clara de representarla se resume en los siguientes
puntos:
ü Ausencia de buenas practicas de desarrollo seguro
ü Aspectos de diseño (Usabilidad vs Seguridad)
ü Instalación de software no controlado
ü Controles en la firma de aplicaciones
ü Malware
ü Canales de comunicación inseguros
#1HackParaLosChicos
15
17. Problemática – Seguridad en
Almacenamiento de Datos
La mayoría de los dispositivos móviles poseen más de una zona
donde almacenar los datos, independientemente de su
arquitectura. Todos los actores están de acuerdo en que
deben protegerlos, sin embargo no todos lo hacen de la misma
forma:
ü Cifrado a nivel de RAM
ü Cifrado a nivel de ROM
ü Cifrado a nivel de Memoria de Local
ü Cifrado a nivel de Memoria de Almacenamiento Extraíble (SD)
ü Cifrado a nivel de copia de seguridad externa
#1HackParaLosChicos
17
18. Problemá7ca
–
Seguridad
en
Control
de
Accesos
Muy relacionado con el acceso físico, y conformando la primer
barrera de protección, el PIN o CLAVE se convierte en un factor
primordial.
ü Claves débiles (predictibilidad y tamaño)
ü Teclados complejos para claves complejas
ü Ingeniería social (shoulder surfing)
ü Almacenamiento inseguro de claves en los dispositivos
ü Ausencia de múltiples capas de validación.
#1HackParaLosChicos
18
21. Problemá7ca:
Otros
aspectos
relevantes
ü 802.11
ü Bluetooth
ü 3G / EDGE / GSM
ü USB / Mini USB / etc
ü Privacidad (Geolocalización y Metadatos)
#1HackParaLosChicos
21
23. Contramedidas
Definir estándares de seguridad independientemente de la
plataforma.
Concienciación de usuarios.
Utilizar los sistemas de administración centralizada (Mobile
Device Manager) para las plataformas implementadas:
- Habilitar borrado remoto.
- Habilitar bloqueo remoto.
- Geolocalización del equipo.
- Aplicación de Políticas (OTA)
#1HackParaLosChicos
23
24. Contramedidas
Robustecer controles de acceso según criticidad del
dispositivo/dueño (Pin a nivel de OS, Pin a nivel de SIM,
Medios Extraíbles, autenticación por aplicación y factor de
autenticación múltiple)
Cifrado de la información (medios de almacenamiento locales,
extraíbles y memorias).
Gestión de aplicaciones:
- Soluciones antimalware.
- Utilización de canales seguros por cualquier interface.
- Descarga e instalación de APP’s de fuentes confiables.
#1HackParaLosChicos
24
25. Conclusiones
Los dispositivos móviles, son más que una moda.
Administrarlos de manera descentralizada es como
implementar parches máquina por máquina en nuestra red.
Si los usuarios no entienden el problema, las soluciones
puramente técnicas serán poco efectivas.
Los problemas de seguridad ya los conocemos, solo se
mudaron a otro escenario.
Igualmente recuerde…
#1HackParaLosChicos
25